跳过至内容

Spectre Meltdown 内核更新

针对“Spectre/Meltdown”问题的内核更新要求
名称 Meltdown 和 Spectre 硬件问题
描述 使用推测执行和分支预测的微处理器的系统可能会允许攻击者通过侧信道分析向具有本地用户访问权限的攻击者泄露信息。
相关 CVE CVE-2017-5715 CVE-2017-5753 CVE-2017-5754
NVD 严重性 中等(攻击范围:本地)
文档最后更新时间 2018 年 1 月 7 日

摘要

  • 所有未修补的 Linux 版本在所有平台(AWS、GCE 等)上运行时都容易受到攻击。
  • 修补程序包含在 Linux 4.4.110(针对 4.4)、4.9.75(针对 4.9)、4.14.12(针对 4.14)中。
  • kOps 可以运行您选择的镜像,因此我们只能针对默认镜像提供详细的建议。
  • 默认情况下,kOps 运行包含 4.4 内核的镜像。已提供包含已修补版本(4.4.110)的更新镜像。强烈建议运行默认镜像的用户进行升级。
  • 如果您运行其他镜像,请咨询您的发行版以获取更新的镜像。

CVE

已公开发布了三个 CVE,它们代表了利用相同底层推测执行硬件问题的不同方式。

  • 变体 1:边界检查绕过(CVE-2017-5753)
  • 变体 2:分支目标注入(CVE-2017-5715)
  • 变体 3:恶意数据高速缓存加载(CVE-2017-5754)

本安全公告所涉及的内核更新主要用于缓解 CVE-2017-5753 和 CVE-2017-5754。

检测易受攻击的软件

如果您在 dmesg 中未看到“Kernel/User page tables isolation: enabled”,则表示您存在漏洞。

dmesg -H | grep 'page tables isolation'
      [  +0.000000] Kernel/User page tables isolation: enabled

受影响的维护组件

  • Linux 内核于 2018 年 1 月 5 日发布了修补程序。此日期之前的所有镜像可能都需要更新。
  • kubernetes/kops 维护的 AMI 是易受攻击的维护组件,尽管这可能会影响所有用户。

修复版本

对于 kops 维护的 AMI,以下 AMI 包含更新的内核。

  • kope.io/k8s-1.5-debian-jessie-amd64-hvm-ebs-2018-01-05
  • kope.io/k8s-1.6-debian-jessie-amd64-hvm-ebs-2018-01-05
  • kope.io/k8s-1.7-debian-jessie-amd64-hvm-ebs-2018-01-05
  • kope.io/k8s-1.8-debian-jessie-amd64-hvm-ebs-2018-01-05
  • kope.io/k8s-1.8-debian-stretch-amd64-hvm-ebs-2018-01-05

这些是 kubernetes/kops 项目维护的镜像;请参考其他供应商以获取相应的 AMI 版本。

更新流程

对于所有示例,请将 $CLUSTER 替换为相应的 kOps 集群名称。

列出实例组

kops get ig --name $CLUSTER

更新每个实例组的镜像

通过 kops edit 命令或 kops replace -f mycluster.yaml 更新实例组,使用相应的镜像版本。

预览更改

执行干运行更新,验证所有实例组是否已更新。

kops update cluster --name $CLUSTER

应用更改

更新集群配置,以便新实例将使用更新的镜像启动。

kops update cluster --name $CLUSTER --yes

预览滚动更新

执行干运行滚动更新,以验证所有实例组是否将被滚动。

kops rolling-update cluster --name $CLUSTER

滚动集群

执行集群滚动更新可确保所有旧实例都被运行更新镜像的新实例替换。

kops rolling-update cluster --name $CLUSTER --yes

资源/笔记

  • https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
  • https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
  • https://coreos.com/blog/container-linux-meltdown-patch
  • https://spectreattack.com/
  • https://xenbits.xen.org/xsa/advisory-254.html
  • https://googleprojectzero.blogspot.co.uk/2018/01/reading-privileged-memory-with-side.html
  • 论文:https://spectreattack.com/spectre.pdf
  • https://01.org/security/advisories/intel-oss-10002
  • https://meltdownattack.com/
  • http://blog.cyberus-technology.de/posts/2018-01-03-meltdown.html
  • 论文:https://meltdownattack.com/meltdown.pdf
  • https://01.org/security/advisories/intel-oss-10003